|
: u) k8 t6 k* g/ z
本文章来自网络Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名Nginx是一款轻量级的Web 服务器/反向代理服务器,其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。 + Q8 v6 H1 i7 N5 y, }. K, V1 @$ o
下面我们就来详细介绍下nginx的常用配置,该配置均为我们生产环境中检验过的,大家可放心使用如在使用过程中遇到问题或者疑惑,可以在我们的网站下留言,我们会尽快回复一、主配置文件user nobody nobody; #nginx用户、用户组 0 I E% `: ~0 R. i! b
worker_processes 8; #开启8个工作进程worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000; #0001表示启用第一个CPU内核,0010表示启用第二个CPU内核,依此类推 ! I$ X, l2 m8 B( M& q
error_log logs/error.log; #错误日志存放路径 #error_log logs/error.log notice;#error_log logs/error.log info;pid logs/nginx.pid; #pid文件存放路径
3 O4 c7 ^( v U: e$ O worker_rlimit_nofile 100000; #指定进程可以打开的最大描述符号,这个指令是指当一个nginx进程打开的最多文件描述符数量,理论值应该是最多打开文件数(ulimit -n)与nginx进程数相除,但是nginx分配请求并不是很均匀,建议与ulimit -n的值保持一致。 ) I* a) b. n9 S. ~, ~; |+ M
当然设置比ulimit -n大也可以,设置后你的操作系统和Nginx可以处理比ulimit -n更多的文件google_perftools_profiles /tmp/tcmalloc; # google-perftools中TCMalloc库在内存分配效率和速度上要高很多,这在很大程度上提高了服务器在高并发情况下的性能,从而降低系统负载 4 S$ p, {% I) q# w2 k6 r. n
events {use epoll; #使用epoll的I/O 模型linux建议epoll,FreeBSD建议采用kqueue#accept_mutex off; #multi_accept on;worker_connections 100000; #每个工作进程的最大连接数量。 6 e- x8 X; H! N5 N
根据硬件调整,和前面工作进程配合起来用,尽量大,但是别把cpu跑到100%就行每个进程允许的最多连接数,理论上每台nginx服务器的最大连接数为worker_processes*worker_connections。 + }9 p$ A! C2 u3 i+ ]2 T" U5 C" R
}http { #nginx代理http协议,还可以代理ftp/mail等协议 include mime.types; #设定mime类型,类型由mime.type文件定义default_type application/octet-stream; & `$ O9 k) Z" B* f% F
log_format main $http_x_forwarded_for - "$upstream_cache_status" $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $remote_addr ; 7 S& r" ]0 ]- B* a& ^, R
#log_format log1 $realip - "$upstream_cache_status" $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $remote_addr;
4 h. h1 h9 N1 T8 ], Y% n #日志格式设置$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址;$remote_user:用来记录客户端用户名称;$time_local: 用来记录访问时间与时区;
& q1 M) A8 z: @$ u1 T) b9 r% m" ` $request: 用来记录请求的url与http协议;$status: 用来记录请求状态;成功是200,$body_bytes_sent :记录发送给客户端文件主体内容大小;$http_referer:用来记录从那个页面链接访问过来的;
! w- \/ H0 z# G3 y1 f $http_user_agent:记录客户浏览器的相关信息;通常web服务器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过$remote_add拿到的IP地址是反向代理服务器的iP地址反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。 * U9 ]" I% B5 j
#access_log logs/access.log main;sendfile on; #使用高效的文件传输,可以让sendfile()发挥作用sendfile()可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)。
. K8 j) @2 \: i% Q# b Pre-sendfile是传送数据之前在用户空间申请数据缓冲区之后用read()将数据从文件拷贝到这个缓冲区,write()将缓冲区数据写入网络sendfile()是立即将数据从磁盘读到OS缓存因为这种拷贝是在内核完成的,sendfile()要比组合read()和write()以及打开关闭丢弃缓冲更加有效。
; s; I& r0 Y6 j% C3 Q. W tcp_nopush on; #防止TCP阻塞, 告诉nginx在一个数据包里发送所有头文件,而不一个接一个的发送 tcp_nodelay on; #告诉nginx不要缓存数据,而是一段一段的发送--当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就不能立即得到返回值。
9 u* b3 K0 Q! `4 f. M server_tokens off; #彻底隐藏nginx版本号,提高安全性#charset utf-8;keepalive_timeout 75; #保持连接超时时间gzip on; #是否启用压缩功能,实时压缩输出数据流 6 k9 P5 _( O* A; e8 x" u- k
gzip_min_length 1k; #允许压缩的页面的最小字节数,建议设置成大于 1K 的字节数 ( 页面字节数从header 头的Content-Length 中获取的,默认值为 0 ,不管页面多大都进行压缩) 0 z: t" e/ N- \; V; @5 p0 P
gzip_buffers 4 16k; # 申请4 个单位为 16K 的内存作为压缩数结果的缓存(默认是申请与原始数据大小相同的内存空间来存储gzip的压缩结果)gzip_http_version 1.0; #设置识别HTTP协议的版本,默认是1.1,大部分浏览器已经支持gzip解压。 $ _+ ?! n+ D2 c+ m6 m
gzip_comp_level 3; #设置压缩比(1 压缩比最小,9 压缩比最大)gzip_types text/plain application/x-javascript text/css text/javascript application/x-httpd-php image/jpeg image/gif image/png application/xml; #指定压缩的类型(无论是否指定, "text/html" 类型一定是会被压缩的)
' ~8 R6 O# F) x: \4 V, U! ~ #gzip_vary on; #可以让前端缓存服务器缓存经过 gzip 压缩的页面,如:Squidserver_names_hash_bucket_size 128; #保存服务器名字的hash表是由指令
8 d) V0 X. u/ Q) k! X- J" @ server_names_hash_max_size 和server_names_hash_bucket_size所控制的参数hash bucket size总是等于hash表的大小,并且是一路处理器缓存大小的倍数。
$ Y3 f( Y- J& T6 z/ {# R, V. a. D 在减少了在内存中的存取次数后,使在处理器中加速查找hash表键值成为可能如果hash bucket size等于一路处理器缓存的大小,那么在查找键的时候,最坏的情况下在内存中查找的次数为2第一次是确定存储单元的地址,第二次是在存储单元中查找键 值。 ; o, C# \* e: Q* g/ j
因此,如果Nginx给出需要增大hash max size 或 hash bucket size的提示,那么首要的是增大前一个参数的大小.fastcgi_intercept_errors on; #这个指令指定是否传递4xx和5xx错误信息到客户端,或者允许nginx使用error_page处理错误信息。
: o5 }0 V b, T ~" }, P client_max_body_size 50m; #允许客户端请求的最大单文件字节数client_body_buffer_size 512k; #指定用户请求体所使用的buffer的最大值client_header_buffer_size 32k; #设置用户请求头所使用的buffer大小 6 [* K' m/ w. ~% n+ L" b
large_client_header_buffers 4 32k; #注意:(1)对绝大多数请求来说,1k足以满足请求头所需的buffer;(2)对于携带有较大cookie或来自于wap用户的请求头来说,1k的buffer一般不够,这时可以使用指令 ( f* I! Z& ~6 Z4 |
large_client_header_buffers#proxy_ignore_client_abort on;proxy_connect_timeout 10s; #nginx跟后端服务器连接超时时间(代理连接超时)。 + ?* Q2 J! P" W1 v& j- `
proxy_read_timeout 60s; #连接成功后,后端服务器响应时间(代理接收超时)proxy_send_timeout 60s; #后端服务器数据回传时间(代理发送超时)proxy_buffer_size 16k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
! d4 {* e& A* [* u proxy_buffers 4 64k; # proxy_buffers缓冲区,网页平均在64k以下的话,这样设置proxy_busy_buffers_size 128k; #高负荷下缓冲大小proxy_temp_file_write_size 128k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传 ; R% I: U; ]+ i! p
proxy_temp_path /dev/shm/nginx_temp_mem; #代理缓存目录open_file_cache max=204800 inactive=20s; #这个将为打开文件指定缓存,默认是没有启用的,max指定缓存数量,建议和打开文件数一致,inactive是指经过多长时间文件没被请求后删除缓存。
1 f! r# u% B. K5 f4 j2 J. q! L4 ^ open_file_cache_min_uses 1; # open_file_cache指令中的inactive参数时间内文件的最少使用次数,如果超过这个数字,文件描述符一直是在缓存中打开的,如上例,如果有一个文件在inactive时间内一次没被使用,它将被移除
) R1 z# |% l: s. X, _ open_file_cache_valid 30s; #这个是指多长时间检查一次缓存的有效信息#limit_req_zone $binary_remote_addr zone=allips:10m rate=5r/m; #速率限制。 4 x$ M7 p$ c+ _# g
#limit_req_zone $http_x_forwarded_for zone=allips:100m rate=1r/m;server {server_name _; #defaultreturn 403; 6 I8 g2 i6 U9 p, f: m/ [) [) y
access_log off;} #禁止IP直接访问80端口或者禁止非本站的域名绑定我们的IP################# demoproject #################### include nginx-demo.conf; #虚拟主机配置,每个虚拟主机写个单独配置文件,便于管理 ; Y6 s- ?; Q( r, c
} 二、子配置文件[user@www conf]$ cat nginx-demo.confproxy_temp_path /dev/shm/nginx_temp_mem; # 指定存放的缓存目录proxy_cache_path /dev/shm/nginx_cache_mem/www levels=2:2 keys_zone=cache_nginx_www:200m max_size=5000m inactive=3d;
+ C5 {' S5 h& g' M: ]3 D& S; \ proxy_cache_path /tmp/cache_dir1/www levels=1:2:2 keys_zone=danye_s:8000m max_size=2000G inactive=5d; #指定缓存的路径;levels=1:2:2 代表第一级目录有16个目录;第二级有256个,第三级也是有256个;所有活动的key和元数据存储在共享的内存区域中,这个区域用keys_zone参数指定,内存占据8000m;最大的磁盘占用空间为2000G;inactive=5d 如果在 inactive参数指定的5天内缓存的数据没有被请求则被删除; 2 H# ? ?+ ^7 N8 R. ]& S, X$ }
upstream www_demo_com #代理被调用的名称为:www_demo_com { server 192.168.1.100:8080 max_fails=3 fail_timeout=30s weight=2;
) E& ?# Z0 L1 v5 m* s server 192.168.1.101:8080 max_fails=3 fail_timeout=30s weight=3; #max_fails = NUMBER - 在一定时间内(这个时间在fail_timeout参数中设置)检查这个服务器是 否可用时产生的最多失败请求数,默认为1,将其设置为0可以关闭检查; 3 `) C& K: j2 m8 g: r6 h) e
weight = NUMBER - 设置服务器权重,默认为1; fail_timeout = TIME - 在这个时间内产生了max_fails所设置大小的失败尝试连接请求后这个服务 器可能不可用,同样它指定了服务器不可用的时间(在下一次尝试连接请求发起之前) 8 _3 q% w3 L( o& k. ~& O9 i
} geo $whiteiplist { #白名单default 1;8.8.8.8 0;127.0.0.1 0; }map $whiteiplist $limit { 1 $binary_remote_addr;
0 i+ t9 i; T" f; S, h) R) O 0 "";}limit_conn_zone $limit zone=wwwperip:10m; #连接数限制limit_req_zone $limit zone=www:10m rate=50r/s; #访问速率限制 : F! d2 \, r& \" E' C2 q
server{ server_name demo.com; rewrite "^/(.*)$" http://www.demo.com/$1 permanent; access_log off; }server
. E9 E- \. t( T. w+ _0 b8 P { listen 80; server_name www.demo.com; # 配置访问的主机名proxy_set_header Host $host; #但是如果这个字段在客户端的请求头中不存在,那么不发送数据到被代理服务器。 6 |* D. o& c6 h- V. Q
这种情况下最好使用$Host变量,它的值等于请求头中的"Host"字段或服务器名,$host, 请求信息中的"Host",如果请求中没有Host行,则等于设置的服务器名;proxy_set_header X-Real-IP $remote_addr; #$remote_addr, 客户端地址
4 j9 L. U0 `1 M( @2 c7 j( w5 L proxy_set_header X-Forwarded-For $remote_addr; #X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 6 I5 v4 M. U. {2 D& a( U; o
set $realip ""; if ($proxy_add_x_forwarded_for ~ "^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)") { set $realip $1; ) R0 U v7 t& b: I
} if ($proxy_add_x_forwarded_for = "^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)") { set $realip $proxy_add_x_forwarded_for; # g8 ]) L' r- K8 z5 U
} proxy_set_header ipip $realip; #proxy_set_header X-Forwarded-For $realip;proxy_set_header Accept-Encoding ;
( @' o- g1 ^" L. u& ^1 N% ?6 F proxy_ignore_headers "Set-Cookie" "Expires" "Cache-Control" "X-Accel-Redirect" "X-Accel-Expires"; #nginx缓存分成两部分,一部分是key,一部分是value;浏览器会有个cookie等会影响key的生成值。 , [( y, M8 b/ T+ _+ E9 {8 s
所以忽略掉这些cookie以及一些头部信息,使相同的页面生成的key值一样,促使命中率的提升limit_conn wwwperip 20; limit_req zone=www burst=120;limit_rate_after 500k;
& @) s- U* _6 B8 v- ^, ^ limit_rate 300k;#Nginx的http核心模块ngx_http_core_module中提供limit_rate这个指令可以用于控制速度,limit_rate_after用于设置http请求传输多少字节后开始限速。 8 K2 L e9 ^! z l* a
另外两个模块ngx_http_limit_conn_module和ngx_http_limit_req_module分别用于连接数和连接频率的控制location = /robots.txt {root /var/www/html/www.demo.com;。 . C% B9 }' o; ^0 n) ^
}location ~ /purge_s(/.*) { proxy_cache_purge danye_s $host$1$is_args$args; } location ~ ^/(s|g|q)([0-9]*)\.html$
# A$ Q, F9 _1 y' z3 |. |% K { expires 1h; # 指定浏览器缓存时间为1小时,以减少不必要的请求;proxy_cache danye_s; #指定使用哪个keys_zone;proxy_cache_valid 200 304 7d; #配置nginx cache中的缓存文件的缓存时间;对于状态为200和304的缓存文件的缓存时间是7天,7天之后再访问该缓存文件时,文件会过期,从而去源服务器重新取数据; 7 @. m. \7 k) E* v. f: O+ l7 R( U& \
proxy_cache_key $host$uri$is_args$args; #以域名、URI、参数组合成Web缓存的Key值,Nginx根据Key值哈希,存储缓存内容到二级缓存目录内;proxy_hide_header Vary; #隐藏vary信息,这样,cache层就好处理多了,命中率也能有很大提升
3 M1 `! h( J6 ~7 T8 b; O8 V6 K1 [ proxy_pass http://www_demo_com; proxy_cache_min_uses 2; #多少次的查询后应答将被缓存add_header Cache "$upstream_cache_status"; ) F& @+ Y$ p; `3 |0 s
} location ~ ^/wap/sendVerifyCode.shtml(.*) #访问速率限制{limit_req zone=allips_2 burst=1 nodelay; proxy_pass http://www_demo_com; # V J0 o3 d( G; k' H
}location ~ ^/wap/account!sendVerifyCode.do(.*) #拒绝指定地址访问{if ( $http_x_forwarded_for ~ 100.100.100.101|100.100.100.100 ){ / @: ]0 S: q: Y8 v" V) B6 _: h
return 403;} location ~ ^/plane/app { rewrite "/plane/(.*)" /$1 break; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; 1 M4 k v! B, U* o' s
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Cookie $http_cookie; proxy_pass http://www_demo_com; a( m) z6 a, g( F. {" R
}location ~ ^/plane/ {rewrite "/plane/(.*)" /$1 break;proxy_set_header Referer $http_referer;proxy_set_header Cookie $http_cookie; " g, K0 ^( n1 m% _/ c6 i: [1 ]; H W
proxy_pass http://www_demo_com;}location ~ .*\.(png|gif|jpg|jpeg|bmp|ico|js|css|swf)$ #关闭图片日志记录,减少日志写入
9 s0 T- {- E9 d! t u0 u: \: @8 ^ {expires 30m;proxy_cache cache_nginx_www;proxy_cache_valid 200 304 1h;proxy_cache_valid any 1m;proxy_cache_key $host$uri$is_args$args; 0 w- v. ~# D; Z; H& Y
proxy_redirect off;proxy_hide_header Vary;proxy_pass http://www_demo_com;add_header Cache "$upstream_cache_status";
9 l. j5 B, \$ v, z access_log off;}location ~* ^/nginx-status { #开启nginx状态模块stub_status on;allow 192.168.0.0/18;deny all;
% y0 P' Q, I1 O+ v: M access_log off;}location ~ ^/(WEB-INF)/ {deny all;}location ~ .*\.svn/(.*){deny all;}location / { proxy_pass http://www_demo_com;
$ i: Z- q1 \. l5 D } error_page 404 500 502 /404.htm; location = /404.htm { proxy_pass http://www_demo_com; } access_log logs/www.access.log main;
[2 O2 }6 `- T% h6 o$ W error_log logs/www.error.log; }
8 P; X4 u- i' E7 a
+ \3 k% t; Q7 i
" I" x. B! l( Y* x/ I
. q. V! X- I! i3 L# b) [5 h( h. w- A4 p d& P) D, K0 o* g
| 
